La Jungla degli Exploit PoC su GitHub. Su 10, uno contiene malware

La Jungla degli Exploit PoC su GitHub. Su 10, uno contiene malware

Data Breach Registy News Commenti disabilitati su La Jungla degli Exploit PoC su GitHub. Su 10, uno contiene malware 0

Source: Redhotcyber
La Jungla degli Exploit PoC su GitHub. Su 10, uno contiene malware

I ricercatori del Leiden Institute of Advanced Computer Science hanno trovato migliaia di repository su GitHub che offrono exploit PoC (proof-of-concept) falsi per varie vulnerabilità, alcune delle quali includevano malware.

GitHub è una delle più grandi piattaforme di hosting di codice e i ricercatori la utilizzano per pubblicare exploit PoC per aiutare la comunità della sicurezza a verificare le correzioni per le vulnerabilità o determinare l’impatto e la portata di un difetto.

Secondo il documento tecnico dei ricercatori del Leiden Institute of Advanced Computer Science, la possibilità di essere infettati da malware invece di ottenere un PoC potrebbe raggiungere il 10,3%, escludendo falsi e burle.

I ricercatori hanno analizzato poco più di 47.300 repository che pubblicizzavano un exploit per una vulnerabilità divulgata tra il 2017 e il 2021 utilizzando i tre meccanismi seguenti:

  • Analisi dell’indirizzo IP : confronto tra l’IP dell’editore del PoC e le blocklist pubbliche e VT e AbuseIPDB.
  • Analisi binaria : controlli attraverso VirusTotal sugli eseguibili forniti e sui relativi hash.
  • Analisi esadecimale e Base64 : decodifica i file offuscati prima di eseguire controlli binari e IP.
Metodo di analisi
Metodo di analisi dei dati (Arxiv.org)

Dei 150.734 IP univoci estratti, 2.864 voci sono risultate bloccate, 1.522 sono state rilevate come dannose nelle scansioni antivirus di Virus Total e 1.069 di esse erano presenti nel database di AbuseIPDB.

Indirizzi IP trovati in varie liste di blocco
Indirizzi IP trovati su varie blocklist  (Arxiv.org)

L’analisi binaria ha esaminato un set di 6.160 eseguibili e ha rivelato un totale di 2.164 campioni dannosi ospitati in 1.398 repository.

In totale, 4.893 repository su 47.313 testati sono stati ritenuti dannosi, la maggior parte dei quali riguardava vulnerabilità a partire dal 2020.

Repository dannosi all'anno
Repository dannosi all’anno (Arxiv.org)

Esaminando più da vicino alcuni di questi casi, i ricercatori hanno trovato una pletora di diversi malware e script dannosi, che vanno dai trojan di accesso remoto a Cobalt Strike.

Un caso interessante è quello di un PoC relativo alla CVE-2019-0708, comunemente noto come “BlueKeep”, che contiene uno script Python con base64 offuscata che recupera un VBScript da Pastebin.

L’articolo La Jungla degli Exploit PoC su GitHub. Su 10, uno contiene malware proviene da Red Hot Cyber.

Condividi questo post

Related Posts

Tesla segnala altri due incidenti mortali causati dal pilota automatico all’NHTSA

Source: Redhotcyber Tesla segnala altri due incidenti mortali causati dal pilota automatico all’NHTSA Il sistema automatizzato di assistenza alla...

Leggi di più

Ottime nuove da Telegram. Ora puoi registrarti anche senza una carta SIM

Source: Redhotcyber Ottime nuove da Telegram. Ora puoi registrarti anche senza una carta SIM Il messenger di Telegram ha...

Leggi di più

La Ferrari scrive a RHC. RHC si mette a disposizione in forma gratuita per l’incident Response

Come abbiamo riportato questa mattina, sul data leak site di RansomEXX, è stato riportata una fuoriuscita di informazioni della...

Leggi di più

Il radar della settimana: cyber spionaggio e hacktivismo, disgregazione e destabilizzazione

Source: Redhotcyber Il radar della settimana: cyber spionaggio e hacktivismo, disgregazione e destabilizzazione Autore: Il Radar Geopolitico di...

Leggi di più

6 Top API Security Risks! Favored Targets for Attackers If Left UnmanagedThe Hacker News

Security threats are always a concern when it comes to APIs. API security can be compared to driving a car....

Leggi di più